A l’occasion de ses contrôles thématiques SPOT, l’Autorité des marchés financiers a examiné les modalités d’externalisation du contrôle interne de 7 sociétés de gestion auprès de 3 cabinets. Elle entend encourager les bonnes pratiques en matière de sélection et suivi du prestataire, et de revue périodique de la qualité des travaux réalisés par le prestataire.
L’externalisation du contrôle interne est un modèle particulièrement répandu en France auprès des sociétés de gestion de petite taille. La fonction de contrôle interne jouant un rôle clé au sein des sociétés de gestion, l’AMF a placé le sujet parmi ses priorités de supervision 2020. Elle a donc examiné les pratiques de sept établissements distincts. Les pratiques observées font l’objet d’une synthèse publiée ce jour.
L’examen du régulateur, réalisé sur la période 2017-2020, a porté sur :
- L’organisation des sociétés de gestion en matière de contrôle interne (sélection du prestataire, ressources allouées, périmètre externalisé, gouvernance, etc.)
- Les procédures, la méthodologie de conduite et le plan de contrôle
- La mise en œuvre pratique du processus de contrôle
- Le reporting fait aux dirigeants de la société de gestion et à l’AMF
- Le dispositif d’évaluation et de contrôle du prestataire par le gestionnaire.
L’externalisation du contrôle interne recouvre des périmètres différents d’une société de gestion à l’autre. A deux exceptions près, l’allocation des moyens humains est cohérente ou supérieure à ce que prévoit le programme d’activité. L’AMF a cependant constaté que la distinction entre contrôle permanent (contrôle de deuxième niveau de la bonne exécution des contrôles de premier niveau pris en charge par les équipes opérationnelles) et contrôle périodique (audit ou contrôle de troisième niveau) n’est claire ni pour les entités du panel ni pour les prestataires. Le plus souvent, les travaux de contrôle périodique ne consistent pas à vérifier les travaux de contrôle permanent de deuxième niveau. Le contrôle périodique se réduit le plus souvent à un contrôle permanent ponctuel. L’AMF a, par exemple, mis en exergue la mauvaise pratique consistant à ne pas allouer des moyens humains strictement distincts entre contrôle permanent et contrôle périodique au sein d’un même cabinet en charge de l’externalisation.
S’agissant de la conduite des contrôles, l’AMF a relevé que 5 entités n’ont pas de procédures suffisamment précises et opérationnelles. Toutes disposent bien de plans de conformité et de contrôle interne annuels établis par ou avec l’aide du prestataire sur la base des données de reporting de l’année précédente. Mais seules deux formalisent des priorités en fonction de leur évaluation du risque de non-conformité, ce qui est une bonne pratique.
Afin d’évaluer concrètement la mise en œuvre de ces dispositifs d’externalisation du contrôle interne, l’AMF a poursuivi, pour chacune des sociétés de gestion, ses vérifications sur trois thématiques parmi les quatre suivantes : processus d’investissement et de valorisation, la lutte contre le blanchiment et le financement du terrorisme, le respect du cadre de la directive sur les marchés d’instruments financiers pour l’activité de gestion sous mandat (MIF2) et la cybersécurité. Il en ressort que les procédures en lien avec ces thématiques ne sont pas toujours suffisamment précises ou opérationnelles, omettant parfois les diligences à mettre en œuvre et une mise à jour des références réglementaires. Au final, l’AMF a constaté que des points de contrôle majeurs ne sont pas réalisés.
La structure des reportings aux dirigeants varie d’un gestionnaire à l’autre. Dans trois cas, les reportings apparaissent lacunaires. Parmi les bonnes pratiques observées, l’inclusion dans les rapports de contrôle interne aux dirigeants d’un tableau de synthèse des risques identifiés lors des contrôles réalisés durant la période et d’une rubrique dédiée au suivi des recommandations. A l’inverse, pour l’ensemble du panel, l’AMF a souligné l’absence de mention des anomalies relevées par la fonction de contrôle interne dans les fiches de renseignements annuelles et les rapports annuels de contrôle adressés à l’AMF.
Enfin, le régulateur a noté l’absence de contrôle du prestataire dans trois cas et, dans les autres cas, une traçabilité des diligences menées qui n’est pas toujours suffisante. A cet égard, disposer d’un fichier annuel renseigné au fil de l’eau afin de formaliser le suivi du prestataire de contrôle interne fait partie des bonnes pratiques constatées.
Au total, il ressort de cette série de contrôles des niveaux d’efficacité trop disparates dans les dispositifs de contrôle interne ayant recours aux services d’un prestataire. Dans certains cas, ces dispositifs sont insuffisants, à la fois en matière de profondeur des analyses et de traçabilité des diligences réalisées. Toute société de gestion qui souhaite recourir à un prestataire pour son contrôle interne doit apporter une attention particulière au choix et au suivi de ce prestataire. Pour faire progresser les pratiques, le régulateur apportera donc des précisions à sa doctrine.